Documentação do Oracle Cloud Infrastructure

Gerenciando Grupos Dinâmicos

Este tópico descreve como gerenciar grupos dinâmicos e definir as regras para determinar os membros de um grupo dinâmico.

Sobre Grupos Dinâmicos

Os grupos dinâmicos permitem que você agrupe instâncias de computação do Oracle Cloud Infrastructure como atores "principais" (semelhantes aos grupos de usuários). Em seguida, você pode criar políticas para permitir que as instâncias façam chamadas de API em serviços do Oracle Cloud Infrastructure. Ao criar um grupo dinâmico, em vez de adicionar membros explicitamente ao grupo, você define um conjunto de regras de correspondência para definir os membros do grupo. Por exemplo, uma regra pode especificar que todas as instâncias de um compartimento específico são membros do grupo dinâmico. Os membros podem mudar dinamicamente, pois as instâncias são iniciadas e encerradas nesse compartimento.

Aplicando Tags em Recursos

Aplique tags aos seus recursos para ajudar a organizá-los de acordo com as necessidades da sua empresa. Aplique tags no momento da criação de um recurso ou atualize-o posteriormente com as tags desejadas. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.

Como trabalhar com Grupos Dinâmicos

Ao criar um grupo dinâmico, você deve fornecer um nome exclusivo e inalterável para o grupo dinâmico. O nome deve ser exclusivo em todos os grupos em sua tenancy. Você também deve fornecer ao grupo dinâmico uma descrição (embora possa ser uma string vazia), que é uma descrição não exclusiva e que pode ser alterada para o grupo. O sistema Oracle também designará ao grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

Nota

Se você excluir um grupo dinâmico e depois criar um novo grupo dinâmico com o mesmo nome, eles serão considerados grupos distintos porque terão outros OCIDs.

Um grupo dinâmico não tem permissões até que você grave pelo menos uma política  que forneça essa permissão de grupo dinâmico para a tenancy ou o compartimento. Ao gravar a política, você pode especificar o grupo dinâmico usando o nome exclusivo ou o OCID do grupo dinâmico. De acordo com a observação anterior, mesmo que você especifique o nome do grupo dinâmico na política, o serviço IAM usa internamente o OCID para determinar o grupo dinâmico. Para obter informações sobre como gravar políticas, consulte Gerenciando Políticas.

Você pode excluir um grupo dinâmico, mas somente se o grupo estiver vazio.

Atualizando Grupos Dinâmicos

Você pode atualizar as regras de correspondência que definem os membros de um grupo dinâmico. Por exemplo, você pode alterar uma regra de correspondência que inclua todas as instâncias de um compartimento para excluir uma instância específica. Ou você pode atualizar uma regra para incluir um novo valor de tag.

Importante

Ao fazer uma alteração em uma regra de correspondência, você deverá aguardar cerca de uma hora para que a política atualizada tenha efeito. Por exemplo, se você atualizar tags em uma instância para incluir ou excluir essa instância de um grupo dinâmico, será necessário aguardar que essa política tenha efeito para incluir ou excluir a instância.

Limites nos Grupos Dinâmicos

Uma única instância de computação pode pertencer a no máximo 5 grupos dinâmicos.

Você pode ter no máximo 50 grupos dinâmicos em sua tenancy.

Usando a Console

Para criar um grupo dinâmico
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios. Em Domínio de identidades, clique em Grupos dinâmicos.
  2. Clique em Criar Grupo Dinâmico.
  3. Informe o seguinte:
    • Nome: Um nome exclusivo para o grupo. O nome deve ser exclusivo em todos os grupos de sua tenancy (grupos dinâmicos e grupos de usuários). Não é possível alterar essa opção posteriormente. Evite digitar informações confidenciais.
    • Descrição: Uma descrição amigável.
  4. Informe as Regras de Correspondência. Os recursos que atendem aos critérios da regra são membros do grupo.
  5. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.

  6. Clique em Criar Grupo Dinâmico.

    A sintaxe da regra de correspondência é verificada, mas os OCIDs não são. Verifique se os OCIDs digitados estão corretos.

Em seguida, para conceder as permissões do grupo dinâmico, você precisa gravar uma política. Consulte Gravando Políticas para Grupos Dinâmicos.

Para excluir um grupo dinâmico
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios. Em Domínio de identidades, clique em Grupos dinâmicos. Uma lista dos grupos dinâmicos em sua tenancy é exibida.
  2. Localize o grupo dinâmico na lista.
  3. No grupo dinâmico que você deseja excluir, clique em Excluir.
  4. Confirme quando solicitado.
Para atualizar a descrição de um grupo dinâmico
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios. Em Domínio de identidades, clique em Grupos dinâmicos. Uma lista dos grupos em sua tenancy será exibida.
  2. Clique no grupo dinâmico que deseja atualizar. Os detalhes do grupo dinâmico serão exibidos.
  3. Clique em Editar Grupo Dinâmico.
  4. Edite a descrição. Quando terminar, clique em Salvar Alterações.
Para atualizar as regras de correspondência de um grupo dinâmico
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios. Em Domínio de identidades, clique em Grupos dinâmicos. Uma lista dos grupos dinâmicos em sua tenancy é exibida.
  2. Clique no grupo dinâmico que deseja atualizar. Os detalhes do grupo dinâmico serão exibidos.
  3. Clique em Editar Todas as Regras de Correspondência.
  4. Edite a regra de correspondência na caixa de texto; ou você poderá usar o construtor de regras se a alteração for suportada pelo construtor de regras.

Gravando Regras de Correspondência para Definir Grupos Dinâmicos

As regras de correspondência definem os recursos que pertencem ao grupo dinâmico. Na Console, você pode informar a regra manualmente na caixa de texto fornecida ou usar o construtor de regras. O construtor de regras permite fazer seleções e entradas em uma caixa de diálogo e, em seguida, grava a regra para você, com base em suas entradas.

Você pode definir os membros do grupo dinâmico com base no seguinte:

  • ID do compartimento - incluir (ou excluir) as instâncias que residem nesse compartimento com base no OCID do compartimento
  • ID da instância - incluir (ou excluir) uma instância com base no OCID de sua instância
  • namespace de tag e chave de tag - incluir (ou excluir) instâncias marcadas com um namespace de tag e chave de tag específicos. Todos os valores de tags são incluídos. Por exemplo, inclua todas as instâncias marcadas com o namespace de tag department e a chave de tag operations.
  • namespace de tag, chave de tag e valor de tag - incluir (ou excluir) instâncias marcadas com um valor específico para o namespace de tag e chave de tag. Por exemplo, inclua todas as instâncias marcadas com o namespace de tag department e a chave de tag operations e com o valor '45'.
  • resource.compartment.id - o OCID do compartimento no qual o recurso reside
  • resource.id - o OCID do recurso
  • resource.type - o tipo do recurso

Uma regra de correspondência tem a seguinte sintaxe:

Para uma única condição:

variable =|!= 'value'

Para várias condições:

any|all {<condition>,<condition>,...}

As variáveis suportadas são:

  • instance.compartment.id - o OCID do compartimento onde a instância reside
  • instance.id - o OCID da instância
  • tag.<tagnamespace>.<tagkey>.value - o namespace da tag e a chave da tag. Por exemplo, tag.department.operations.value.
  • tag.<tagnamespace>.<tagkey>.value='<tagvalue>' - o namespace da tag, a chave da tag e o valor da tag. Por exemplo, tag.department.operations.value='45'

Seguem alguns exemplos:

Incluir Todas as Instâncias em um Compartimento Específico no Grupo Dinâmico

Para incluir todas as instâncias que estão em um compartimento específico, adicione uma regra com a seguinte sintaxe:

instance.compartment.id = '<compartment_ocid>'

Você pode digitar a regra diretamente na caixa de texto ou pode usar o construtor de regras.

Exemplo de entrada na caixa de texto:

instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv'

Para adicionar a mesma regra usando o construtor de regras da Console:

  • Para Inclua Instâncias que Correspondam a: Selecione Todos os seguintes.
  • Para Corresponder Instâncias com: Selecione OCID do Compartimento.
  • Para Valor: Digite o OCID do compartimento. Neste exemplo, você digitaria ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv

Todas as instâncias que existem ou são criadas no compartimento (identificadas por OCID) são membros deste grupo.

Incluir Todas as Instâncias de Dois ou Mais Compartimentos

Para incluir todas as instâncias que residem em dois (ou mais) compartimentos, adicione uma regra com a seguinte sintaxe:

Any {instance.compartment.id = '<compartment_ocid>', instance.compartment.id = '<compartment_ocid>'}

separando cada entrada de compartimento com uma vírgula.

Você pode digitar a regra diretamente na caixa de texto ou pode usar o construtor de regras.

Exemplo de entrada na caixa de texto:

Any {instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv', instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2'}

Para adicionar a mesma regra usando o construtor de regras da Console:

  1. Para Inclua Instâncias que Correspondam a: Selecione Qualquer um dos seguintes.
  2. Para Corresponder Instâncias com: Selecione OCID do Compartimento.
  3. Para Valor: Digite o OCID do compartimento. Neste exemplo, você digitaria ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
  4. Clique em +Linha Adicional. Insira o seguinte na segunda linha:
    • Para Corresponder Instâncias com: Selecione OCID do Compartimento.
    • Para Valor: Digite o OCID do compartimento adicional. Neste exemplo, você digitaria ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2

As instâncias que existem no momento ou que serão criadas mais tarde em qualquer um dos compartimentos especificados são membros desse grupo.

Incluir Todas as Instâncias Marcadas com um Namespace e uma Chave de Tag Específicos

Para incluir todas as instâncias marcadas com um namespace de tag e uma chave de tag específicos, adicione uma regra com a seguinte sintaxe:

tag.<tagnamespace>.<tagkey>.value

Todas as instâncias designadas à combinação tagnamespace.tagkey são incluídas. Observe que o valor da tag não é avaliado, portanto, todos os valores são incluídos.

Exemplo: Imagine que você tenha um namespace de tag chamado department e uma chave de tag chamada operations. Você deseja incluir todas as instâncias marcadas com o namespace e a chave da tag.

Informe a seguinte regra na caixa de texto:

tag.department.operations.value

Todas as instâncias que existem ou são criadas com o namespace da tag e a chave de tag department.operations são membros deste grupo.

Incluir Todas as Instâncias em um Compartimento Específico com um Namespace de Tag, uma Chave de Tag e um Valor de Tag específicos

Para incluir todas as instâncias em um compartimento específico que estejam marcadas com um namespace de tag, chave e valor específicos, adicione uma regra com a seguinte sintaxe:

Todas {instance.compartment.id = '<compartment_ocid>', tag.<tagnamespace>.<tagkey>.value='<tagvalue>'}

Todas as instâncias que estão no compartimento identificado e que são designadas como chave de namespace de tag com o valor de tag especificado são incluídas.

Exemplo: Imagine que você tenha um namespace de tag chamado department e uma chave de tag chamada operations. Você deseja incluir todas as instâncias marcadas com o valor 45 que estão em um compartimento específico.

Informe a seguinte instrução na caixa de texto:

All {instance.compartment.id='ocid1:compartment:oc1:phx:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv,',
tag.department.operations.value='45'}

Usando o Construtor de Regras

O construtor de regras é uma ferramenta disponível na Console para ajudá-lo a gravar regras de correspondência. O construtor de regras fornece menus e caixas de texto para que você faça lançamentos e, em seguida, grava a regra para você. O construtor de regras tem algumas limitações; portanto, não é possível usá-lo para todos os casos.

Limitações do Construtor de Regras

O construtor de regras não suporta o seguinte:

  • Regras de exclusão - o construtor de regras permite que você selecione somente IDs de compartimento e IDs de instância a serem incluídos.
  • Regras baseadas em tags - o construtor de regras não permite que você selecione tags para incluir na regra. Para adicionar uma regra com base em valores de tag, você precisa inserir a regra na caixa de texto Regra usando a sintaxe acima.

Iniciando o Construtor de Regras

Ao clicar em Criar Grupo Dinâmico, o Construtor de Regras será exibido na caixa de diálogo Criar Grupo Dinâmico.

Para criar uma regra de correspondência usando o construtor de regras

  1. Na seção Regras de Correspondência, clique em Construtor de Regras.

  2. No menu Inclua Instâncias que Correspondam a, selecione Todos os seguintes ou Qualquer um dos seguintes.

    A opção Todos os seguintes inclui apenas instâncias que correspondem a todas as instruções da regra.

    A opção Qualquer um dos seguintes inclui as instâncias que correspondem a qualquer uma das instruções da regra.

    Observação

    Você pode selecionar as seguintes variáveis de instância e compartimento:
    • instance.compartment.id e instance.id são aplicáveis quando instâncias correspondentes
    • resource.compartment.id, resource.id e resource.type são aplicáveis quando recursos correspondentes
    • As variáveis tag.* se aplicam a instâncias e recursos

  3. Selecione um tipo de recurso no menu Corresponder Instâncias com e digite o OCID do recurso no campo Valor:

    OCID do Compartimento inclui instâncias no compartimento que você especifica.

    OCID da Instância inclui as instâncias com os OCIDs que você especifica.

  4. Clique em +Linha adicional para adicionar mais instruções a esta regra.

    Ao adicionar várias instruções a uma regra, lembre-se de que Qualquer um dos seguintes inclui instâncias que correspondem a qualquer uma das instruções. Se você escolher Todos os seguintes, as instâncias deverão corresponder a todas as especificações das instruções a serem incluídas no grupo.

Exemplos Usando o Construtor de Regras

Incluir Todas as Instâncias em um Compartimento Específico no Grupo Dinâmico

Para incluir todas as instâncias que estão em um compartimento específico, usando o construtor de regras:

  • Selecione Todos os seguintes.
  • Para Corresponder Instâncias com: Selecione OCID do Compartimento.
  • Para Valor: Digite o OCID do compartimento, por exemplo, ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2

Todas as instâncias que existem no momento ou que serão criadas mais tarde no compartimento (identificadas pelo OCID) são membros desse grupo.

Incluir Todas as Instâncias de Dois ou Mais Compartimentos

Para incluir todas as instâncias que residem em qualquer um de dois (ou mais) compartimentos usando o construtor de regras:

  1. No menu Inclua Instâncias que Correspondam a, selecione Qualquer um dos seguintes.
  2. Na primeira linha, digite:
    • Para Corresponder Instâncias com, selecione OCID do Compartimento.
    • Para Valor, digite o OCID do compartimento, por exemplo: ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
  3. Clique em +Linha Adicional. Insira o seguinte na segunda linha:
    • Para Corresponder Instâncias com, selecione OCID do Compartimento
    • Para Valor, digite o OCID do compartimento, por exemplo: ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
  4. Continue adicionando linhas adicionais conforme necessário, para cada compartimento que deseja incluir.

As instâncias que existem ou são criadas em qualquer um dos compartimentos especificados são membros deste grupo.